ANDROIDOS_CRUSEWIN.A
高額請求悪用型
Android OS
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。マルウェアは、Android OS搭載のモバイル機器を標的にします。マルウェアは、感染したモバイル機器を内部ネットワークや外部ネットワークへの接続を仲介する「プロキシ」として利用し、「SMSのメッセージ(以下、テキストメッセージ)」を送受信します。その結果、感染したモバイル機器のユーザは、「テキストメッセージを送信した」として、身に覚えのない請求を受けることになります。
マルウェアは、テキストメッセージの送受信や削除、インストールされたアプリケーション情報の取得、自身の削除や更新といった特定の機能を備えています。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
その他
マルウェアは、感染したモバイル機器を内部ネットワークや外部ネットワークへの接続を仲介する「プロキシ」として利用し、リモートサイトから送信されたテキストメッセージを受信し、これらのメッセージを他の番号へ転送します。その結果、感染したモバイル機器のユーザは、「テキストメッセージを送信した」として、身に覚えのない請求を受けることになります。
マルウェアは、以下の機能を備えています。
- テキストメッセージを送受信
- テキストメッセージを削除
- インストールされたアプリケーション情報の取得
- 自身の削除
- 自身の更新
マルウェアは、以下のWebサイトからXML形式で書かれた環境設定ファイルを受信します。
- http://{BLOCKED}ind.net/flash/test.xml?imei={IMEI}&time={current time}
この環境設定ファイルは、以下の情報を含みます。
- テキストメッセージの本文
- テキストメッセージを転送する先の番号
- イントールされたアプリケーションのリストを送信する先のURL
- 自身の更新版ファイルをダウンロードするURL
- 自身の状況を不正リモートユーザに知らせる通知先URL
マルウェアは、感染モバイル機器が受信したテキストメッセージを監視します。受信したメッセージが、このマルウェアがテキストメッセージを送信した先からのものである場合、マルウェアは、受信したメッセージの本文を以下のURLに送信します。
- http://{BLOCKED}ind.net/flash/in.php?imei={IMEI}&time={current time}
マルウェアは、このメッセージ本文が送信されると、送受信したテキストメッセージを感染したモバイル機器から削除し、不正活動がユーザに気づかれないようにします。
感染モバイル機器にインストールされているアプリケーションをリスト化し、その情報を以下のWebサイトに送信します。
- http://{BLOCKED}ind.net/flash/list.php?imei={IMEI}&time={current time}
なお、上記の解析結果は、解析の時点でマルウェアがダウンロードした環境設定ファイルに基づいており、環境設定ファイルの内容は常時変化します。
対応方法
註:2011年5月より、日本でもAndroid OSに対応したセキュリティ製品「ウイルスバスター モバイル for Android ベータ版」の無償提供を開始しています。 ベータ版は、こちらからダウンロードしてご利用いただけます。
ご利用はいかがでしたか? アンケートにご協力ください